cách phát hiện tấn công sniffer trong mạng lan

92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 dụng để mã hoá những thông tin nhạy cảm để gửi qua đường truyền như : Số thẻ tin dụng của khách hàng, các password và thông tin quan trọng. • PGP và S/MIME: E-mail cũng có khả năng bị những kẻ tấn công ác ý Sniffer. Khi Sniffer một E-mail không được mã hoá, chúng không chỉ biết được nội dung của mail, mà chúng còn có thể biết được các thông tin như địa chỉ của người gửi, địa chỉ của người nhận…Chính vì vậy để đảm bảo an toàn và tính riêng tư cho E-mail bạn cũng cần phải mã hoá chúng… S/MIME được tích hợp trong hầu hết các chương trình gửi nhận Mail hiện nay như Netscape Messenger, Outlock Express…PGP cũng là một giao thức được sủ dụng để mã hoá E-mail. Nó có khả năng hỗ trợ mã hoá bằng DSA, RSA lên đến 2048 bit dữ liệu. • OpenSSH: Khi bạn sử dụng Telnet, FTP…2 giao thức chuẩn này không cung cấp khả năng mã hoá dữ liệu trên đường truyền. Đặc biệt nguy hiểm là không mã hoá Password, chúng chỉ gửi Password qua đường truyền dưới dạng Clear Text. Điều gì sẽ xảy ra nếu những dữ liệu nhạy cảm này bị Sniffer. OpenSSH là một bộ giao thức được ra đời để khắc phục nhược điểm này: SSH (sử dụng thay thế Telnet), SFTP (sử dụng thay thế FTP)… • VPNs (Virtual Private Networks): Được sử dụng để mã hoá dữ liệu khi truyền thông trên Internet. Tuy nhiên nếu một Hacker có thể tấn công và thoả hiệp được những Node của của kết nối VPN đó, thì chúng vẫn có thể tiến hành Sniffer được. Một ví dụ đơn giản,là một người dùng Internet khi lướt Web đã sơ ý để nhiễm RAT (Remoto Access Trojan), thường thì trong loại Trojan này thường có chứa sẵn Plugin Sniffer. Cho đến khi người dùng bất cẩn này thiết lập một kết nối VPN. Lúc này Plugin Sniffer trong Trojan sẽ hoạt động và nó có khả năng đọc được những dữ liệu chưa được mã hoá trước khi đưa vào VPN. Để phòng chống các cuộc tấn công kiểu này: bạn cần nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng VPN của bạn, đồng thời sử dụng các chương trình quét Virus để phát hiện Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 11 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 và ngăn chặn không để hệ thống bị nhiễm Trojan. 3.4 Phương pháp ngăn chặn Sniffer Password : Để ngăn chăn những kẻ tấn công muốn Sniffer Password. Bạn đồng thời sử dụng các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp chứng thực an toàn (Authentication): • SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính năng LANmanager Authencation. • Keberos: Một giải pháp chứng thực dữ liệu an toàn được sử dụng trên Unix cũng như Windows • Stanford SRP (Secure Remote Password): Khắc phục được nhược điểm không mã hoá Password khi truyền thong của 2 giao thức FTP và Telnet trên Unix: • Df • 3.5 Phương pháp ngăn chặn Sniffer trên thiết bị phần cứng : • Việc thay thế Hub của bạn bằng những Switch, nó có thể cung cấp một sự phòng chống hiệu quả hơn. Switch sẽ tạo ra một “Broadcast Domain” nó có tác dụng gửi đến những kẻ tấn công những gói ARP không hợp lệ (Spoof ARP Packet). • Tuy nhiên các Hacker vẫn có những cách thức khéo léo để vượt qua sự phòng thủ này. Các yêu cầu truy vấn ARP chứa đựng những thông tin chính xác từ IP cho đến MAC của người gửi. Thông thường để giảm bớt lưu lượng ARP trên đường truyền, đa số các máy tính sẽ đọc và sử dụng các thông tin từ bộ đệm (Cache) mà chúng truy vấn được từ Broadcast. Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 12 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 • Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt qua sự phòng thủ này bằng cách gửi những gói ARP chứa đựng những thông tin về địa chỉ IP của Router đến chính địa chỉ MAC của anh ta. Tất cả những máy tính trong hệ thống mạng cục bộ này sẽ nhầm tưởng anh ta là Router và sẽ thiết lập phiên truyền thông đi qua máy tính của anh ta. • Một cuộc tấn công DOS tương tự trên một hệ thống mạng cục bộ, khi thành công sẽ đá văng mục tiêu mà họ muốn tấn công ra khỏi mạng. rồi bắt đầu sử dụng chính địa chỉ IP của máy tính vừa bị tấn công này. Những kẻ tấn công sẽ khéo léo thừa kể và sử dụng những kết nối này. Bản than Windows khi phát hiện được hành động này, nó không hành động gì cả mà lại tử tế đóng Stack TCP/IP của chính mình và cho phép kết nối này tiếp tục. Để phòng chống lại các cuộc tấn công dạng bạn chỉ cần sử dụng các công cụ IDS (Intrusion Detecte Service). Các IDS như BlackICE IDS, Snort sẽ tự động phát hiện và cảnh báo về các cuộc tấn công dạng này. • Hầu hết các Adapter Ethernet đều cho phép cấu hình địa chỉ MAC bằng tay. Hacker có thể tạo ra các địa chỉ Spoof MAC bằng cách hướng vào các địa chỉ trên Adapter. Để khắc phục điều này, hầu hết các Switch đều không cho phép tự ý cấu hình lại các địa chỉ MAC. 3.6 Một số thuật ngữ : • Ethernet : Một công nghệ nối mạng có năng lực mạnh được sử dụng trong hầu hết các mạng LAN. • Wireless : Các công nghệ nối mạng không dây. • Serial Direct Cable Connection : Công nghệ kết nối máy tính bằng Cable truyền nhận dữ liệu. • PPP (Point-to-Point Protocol) : Một giao thức kết nối Internet tin cậy thông qua Modem. Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 13 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 • IP (Internet Protocol) : Giao thức được dùng để xử lý cơ chế truyền dữ liệu thực tế. Là cơ sở cho việc định hướng và vận chuyển dữ liệu trên Internet. • ICMP (Internet Control Message Protocol) : Giao thức xử lý các thông báo trạng thái cho IP, ví dụ như báo lỗi và các thay đổi mạng có thể ảnh hưởng đến việc định tuyến. • ARP (Address Resolution Protocol) : Giao thức chuyển các địa chỉ mạng sang địa chỉ phần cứng vật lý tương dùng các thông điệp Broadcast. Dùng để xác định địa chỉ mạng. • RARP (Reverse Address Resolution Protocol) : Làm công việc ngược lại ARP, chuyển địa chỉ phần cứng từ một máy sang địa chỉ IP. • TCP (Transmission Control Protocol) : Một giao thức, dịch vụ dựa trên kết nối, điều này cho phép các máy nhận và gửi dữ liệu có thể truyền thông với nhau vào mọi lúc, mọi nơi. • UDP (User Datagram Protocol) : Một giao thức, một dịch vụ không kết nối, hai máy gửi và nhận sẽ không truyền thông với nhau thông qua một kết nối liên tục. • Telnet : Giao thức cho phép đăng nhập từ xa đê người ding trên máy này có thể kết nối với máy kia và sẽ hoạt động như là ngồi ở máy đó vậy. • FTP (File Transfer Protocol) : Giao thức truyền dữ liệu từ máy này sang máy khác ding giao thức TCP. • SMTP (Simple Mail Transfer Protocol) : Giao thức dùng để truyền nhận thư điện tử giữa các máy. • DNS (Domain Name Service) : Xác định các địa chỉ máy tính từ tên chữ sang số. Còn rất nhiều giao thức dịch vụ khác ở tầng 7. Nhưng do khuôn khổ bài viết lên tôi chỉ nêu một số giao thức dịch vụ cơ bản. Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 14 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 IV Chương trình XARP : 4.1 Giới thiệu : • XARP là một công cụ giao diện đồ họa dùng để giám sát ARP Cache của máy tính.Nó gửi request định kỳ đến bảng ARP cache của máy tính và báo cáo những thay đổi về việc ánh xạ giữa địa chỉ IP và địa chỉ MAC trong ARP cache.Do vậy nó có thể được sử dụng để phát hiện ra kiểu tấn công ARP Poisoning trong mạng LAN. • XARP là 1 chương trình miễn phí.Nó có thể chạy trên hệ điều hành windows 2000 hoặc windows xp. 4.2 Giao diện chương trình : • Normal View : • Advance View : Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 15 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477 4.3 Các mức bảo mật trong XARP : • Minimal : là mức security thấp nhất,ở mức này XARP sẽ không thực hiện việc discovery mà chỉ thực hiện việc detect 1 cách bị động.Các module giám sát có trong XARP sẽ phát hiện ra những phương thức tấn công cơ bản. • Basic : phương thức này thao tác với 1 chiến lược phát hiện ra những tấn công mặc định mà từ đó sẽ phát hiện các phương thức tấn công chuẩn.Đây là mức bảo mật được đề nghị cho mọi môi trường. • High : high security level thêm vào phương thức discovery network,tốc độ phát hiện của nó cao hơn các phương thức trên,tuy nhiên nó phải gửi thêm nhiều gói tin discovery vào trong mạng.Trong 1 vài môi trường,dùng mức độ này có thể cho ra những cảnh báo sai. • Aggressive : aggressive security level sẽ enable tất cả các module giám sát tất cả các gói tin ARP và gửi những gói tin discovery với tần suất cao Tài liệu nghiên cứu an ninh mạng - www.Athena.Edu.Vn 16 92 Nguyễn Đình Chiểu, DaKao, Quận 1, Tp HCM www.Athena.Edu.Vn Hotline : 38244041 – 090 78 79 477